L
tç
9
t
Functionaris voor Gegevensbescherming
Definitief t Onderzoeksrapport i 31-3-2021
Colofon
Contactpersoon mr. OL. Stenhuis-Kok
Functionaris voor Gegevensbescherming Avg Defensie
Opdrachtgever Functionaris voor Gegevensbescherming Avg Defensie
Rubriceringstermijn Gederubriceerd
Errata Pagina 54 en 73: 80 in plaats van 89 rapporten zijn geanalyseerd.
Pagina 48: aangetroffen in plaats van gesloten Avg verwerkersovereenkomst
Definitief i Onderzoeksrapport i 31-3-2021
Voorwoord
De Functionaris voor Gegevensbescherming (FG) fungeert als de wettelijke interne toezichthouder op de naleving van de geldende wet- en regelgeving ter bescherming van persoonsgegevens.
Naar aanleiding van mediaberichten over vermeende onregelmatigheden bij het verzamelen en analyseren van informatie rond de COVID-19 crisis door het Land Information Manoeuvre Centre (LIMC) van de Koninklijke Landmacht heb ik een onderzoek geïnitieerd naar de naleving van de Algemene verordening
gegevensbescherming (Avg).
Voor de uitvoering van het onderzoek is een onderzoeksteam geformeerd met de volgende personen:
- mr. CL. Stenhuis-Kok, Functionaris Gegevensbescherming Avg
-
, Functionaris Gegevensbescherming Wpg
- , Avg coördinator defensiebrede verwerkingen
- , advies en ondersteuning
- functionaris Beveiligingsautoriteit
Ondanks de COVID-19 maatregelen waaronder dit onderzoek heeft plaatsgevonden vind ik het belangrijk te benadrukken, dat de gesprekken met de medewerkers en leidinggevenden werkzaam bij de Koninklijke Landmacht - en het LIMC in het bijzonder- in een open atmosfeer hebben plaatsgevonden. Ik dank hen voor de constructieve medewerking.
Tijdens het onderzoek heeft het onderzoeksteam advies en ondersteuning ontvangen van medewerkers van de Inspectie Veiligheid Defensie, de afdeling Trends Onderzoek en Statistiek en de Autoriteit Persoonsgegevens.
Tot slot een woord van dank aan de leden van het onderzoeksteam en de overige kritische meelezers van deze rapportage.
De Functionaris voor Gegevensbescherming Avg Defensie, Olga Stenhuis-Kok
Pagina3van85
Definitief iOnderzoeksrapport i 3 1-3-2021
Inhoud
Voorwoord —3 Samenvatting—6
1 Inleiding—12
1.1 Aanleiding—12
1.2 Algemene onderzoeksgegevens—12 1.3 Doelstelling—13
1.4 Onderzoeksvragen—13 1.5 Methode van onderzoek—14 1.6 Afbakening—14
1.7 Rapportopbouw—15
2 Toetsingskader—16
2.1 Materieel toepassingsgebied—16 2.1.1 Persoonsgegevens—16
2.1.2 (Geautomatiseerde en/of handmatige) verwerking—17 2.1.3 Big Data—18
2.1.4 Uitzonderingen (U)Avg: krijgsmacht—18
2.1.5 Uitzonderingen (U)Avg: persoonlijke, huishoudelijke & journalistieke doeleinden—21 2.2 Rechtmatig: wettelijke grondslag—22
2.2.1 De publieke taken van de krijgsmacht—23 2.3 Doelbinding—24
2.4 Noodzakelijkheid—25 2.5 ]uistheid—26
2.6 Passende technische en organisatorische maatregelen—26 2.6.1 Defensiebeveiligingsbeleid—26
2.6.2 Normen LIMC—27
2.6.3 Norm: organisatorische maatregelen—27 2.6.4 Norm: technische maatregelen—28 2.7 Verantwoording—28
2.7.1 Verwerkingenregister—28 2.7.2 DPIA—28
2.7.3 Verwerkersovereenkomst—29
2.8 Bijzondere en strafrechtelijke persoonsgegevens—30
2.8.1 Doorbrekingsgrond: kennelijk openbaar gemaakt door betrokkene—31
2.8.2 Doorbrekingsgrond: noodzakelijk voor wetenschappelijk onderzoek/statistische doeleinden—33
3 Bevindingen—34
3.1 Context—34
3.1.1 Crisisstructuur operationeel/tactisch Nederland—35 3.1.2 Besluitvorming bij nationale inzet—36
3.1.3 Informatiegestuurd optreden/Information Manoeuvre—36 3.2 Opdracht LIMC—37
3.3 Organisatie LIMC—39 3.4 Proces LIMC—40
3.4.1 Methodiek analyseteams—41
3.5 Organisatorische en technische maatregelen—55 3.5.1 Organisatorische maatregelen—55
3.5.2 Technische maatregelen—55
Definitief 1 Onderzoeksrapport i 3 1-3-2021
4 Conclusies en aanbevelingen—58 Bijlage 1: Aankondiging toezichtbezoek LIMC—62 Bijlage II Enquêtevragen—66
Bijlage III: Organogram Defensie, Koninklijke Landmacht, OOCL—71 Bijlage IV: Analyseresultaten rapportages LIMC—73
Bijlage V: Verdieping toetsingskader—76 Verwerkingsverantwoordelijke—76
Ve rwe tke r—7 6
Gepseudonimiseerde en geanonimiseerde gegevens—77 Hergebruik persoonsgegevens gepubliceerd op internet—77 Bijzondere en strafrechtelijke gegevens—78
Ras of etnische afkomst—78 Gegevens over gezondheid—79
Politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen—79 Strafrechtelijke gegevens—80
Bijlage VI: Reactie op niet overgenomen punten ‘hoor/wederhoor’—82 Bijlage VII: Geraadpleegde documenten—84
Pagina5van as
Definitief 1 Onderzoeksrapport i 3 1-3-2021
Samenvatting
Aanleiding
NRC Handelsblad bericht op 16 november 2020 over de activiteiten van het Land Information Manoeuvre Centre (LIMC). Defensie heeft hierop gereageerd. Uit de
berichtgeving en de reacties daarop komt het beeld naar voren dat bij het LIMC mogelijk sprake is van incidenten bij het verwerken van persoonsgegevens. Als Functionaris voor Gegevensbescherming (EG) heb ik daarop als onafhankelijk intern toezichthouder binnen het ministerie van Defensie besloten een onderzoek in te stellen naar de naleving van de Algemene verordening gegevensbescherming (Avg) in het kader van door het LIMC uitgevoerde activiteiten. Dit rapport doet hiervan verslag.
Het LIMC is onder commando gesteld van het Operationeel
Ondersteuningscommando Land (OOCL), een onderdeel van de Koninklijke Landmacht.
Onderzoeksvragen
Centrale onderzoeksvraag
Heeft het ministerie van Defensie in het kader van de door de experimenteeromgeving LIMC uitgevoerde activiteiten gehandeld in
overeenstemming met de Avg, de Uitvoeringswet Avg (UAvg) en de Regeling Avg Defensie?
Deelvragen
Om antwoord te kunnen geven op de centrale onderzoeksvraag zijn zeven deelvragen opgesteld:
1. Zijn er binnen het ministerie van Defensie in het kader van de door de experimenteeromgeving UMC uitgevoerde activiteiten persoonsgegevens verwerkt zoals bedoeld in de artikelen 2, 4 lid 1 en lid 2 Avg? Is het verwerken van informatie uit openbaar toegankelijk bronnen in overeenstemming met de Avg beoordeeld, gekwalificeerd en ingericht?
2. Zijn er binnen het ministerie van Defensie in het kader van door de
experimenteeromgeving LIMC uitgevoerde activiteiten bijzondere categorieën van persoonsgegevens verwerkt zoals bedoeld in artikel 9 Avg? Bijvoorbeeld gegevens betreffende de gezondheid en gegevens betreffende politieke, religieuze of levensbeschouwelijke overtuiging?
3. Indien er binnen het ministerie van Defensie in het kader van door de experimenteeromgeving LIMC uitgevoerde activiteiten verwerkingen van persoonsgegevens hebben plaatsgevonden, met welk welbepaald en omschreven doel hebben de minister van Defensie en de Commandant
Landstrijdkrachten deze persoonsgegevens verwerkt en konden de verwerkingen op een rechtmatige grondslag zoals omschreven in de artikelen 6 en 9 Avg worden gebaseerd?
Definitief 1 Onderzoeksrapport i 31-3-2021
4. Vast te stellen of en zo ja welke personen onder het gezag of in opdracht van het ministerie van Defensie in het kader van door de experimenteeromgeving LIMC uitgevoerde activiteiten persoonsgegevens hebben verwerkt of waar persoonsgegevens aan zijn verstrekt en op welke wijze de logging, autorisatie en toegang tot geautomatiseerde systemen en gegevensbronnen was ingericht.
En tevens vast te stellen of het ministerie van Defensie in het kader van door de experimenteeromgeving LIMC uitgevoerde activiteiten aan personen of
instanties buiten het ministerie van Defensie persoonsgegevens heeft verstrekt en zo ja, met welk doel dat is gebeurd.
5. Diende het ministerie van Defensie in het kader van door de
experimenteeromgeving LIMC uitgevoerde verwerkingsactiviteiten een melding op te nemen in het Avg verwerkingenregister Defensie en zo ja, is deze melding gedaan?
6. Was vooraf voor het ministerie van Defensie met het oog op de door de experimenteeromgeving LIMC uit te voeren activiteiten het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) op het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens zoals bedoeld in artikel 35 Avg vereist en zo ja, is er een DPIA uitgevoerd?
7. Welke technische en organisatorische maatregelen zijn door het ministerie van Defensie getroffen ter beveiliging van de in het kader van de door de
experimenteeromgeving LIMC uitgevoerde activiteiten verwerkte
(persoons)gegevens, zoals bedoeld in artikel 32 Avg en zoals uitgewerkt in Defensie beveiligingsbeleid (DBB)?
Onderzoekaanpak
Op 18 november 2020 is aan de Commandant Landstrijdkrachten, in zijn rol als Avg Beheerder, meegedeeld dat er aan het LIMC in ‘t Harde toezichtbezoeken worden afgelegd. Hierbij zijn verkennende gesprekken gevoerd met diverse bij het LIMC betrokken medewerkers en leidinggevenden. Het beeld dat uit de eerste
oriëntatiefase naar voren kwam toonde aan dat persoonsgegevens zijn verwerkt maar dat de activiteiten hier niet op waren gericht.
Na de toezichtbezoeken is een onderzoeksteam geformeerd en een plan van aanpak opgesteld. Naast de toezichtbezoeken op locatie is een documentenanalyse
uitgevoerd, is een enquête onder (oud) medewerkers van het LIMC uitgevoerd en zijn interviews gehouden.
Afbakening
Het onderzoek richt zich op door het LIMC uitgevoerde activiteiten in de periode vanaf de oprichting op 23 maart 2020 tot en met 27 november 2020. Op 27
november heeft de minister van Defensie besloten de activiteiten van het LIMC voor wat het verzamelen en analyseren van informatie betreft stil te zetten.
Het onderzoek richt zich op de vraag of de activiteiten die door het LIMC in deze periode zijn uitgevoerd in overeenstemming waren met de (U)Avg en Regeling Avg Defensie. In het bijzonder gaat het om de vraag of in strijd hiermee
persoonsgegevens zijn verwerkt. Een persoonsgegeven is elke informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. De FG formuleert daarover conclusies en, indien de bevindingen daartoe aanleiding geven, aanbevelingen. Het
Pagina 7van 85
Definitief i Onderzoeksrapport i 3 1-3-2021
onderzoek richt zich niet op de bredere ontwikkelingen op het gebied van informatie gestuurd optreden binnen de krijgsmacht, bij andere defensieonderdelen of CD&E (concept deve/opment & experimentation) projecten buiten het LIMC.
Conclusies
Op basis van het toetsingskader zijn bevindingen beoordeeld. Dit heeft geleid tot onderstaande conclusies en aanbevelingen.
1. Vastgesteld is dat het LIMC persoonsgegevens heeft verwerkt. Dit gebeurde niet grootschalig en zonder de intentie om persoonsgegevens te verwerken. Het LIMC heeft COVID-19 gerelateerde maatschappelijke ontwikkelingen als
“fenomeen” in kaart gebracht om militaire en civiele besluitvorming te voeden met inzicht en handelingsperspectief.
Het LIMC heeft gegevens uit algemeen toegankelijke bronnen, waaronder nieuwswebsites en sociale mediaplatforms, verzameld, geanalyseerd en verwerkt in rapportages. Lang niet in alle gevallen ging het daarbij om
persoonsgegevens, maar bijvoorbeeld om statistische gegevens van IC-opnames en besmettingsaantallen. Het uitvoeren van zoekopdrachten en het raadplegen van persoonsgegevens via het internet zijn wel verwerkingen en vallen dus onder het toepassingsbereik van de Avg.
Het onderzoek heeft daarnaast aangetoond dat in de rapportages nog persoonsgegevens van (publieke) personen voorkomen. Dok het tijdens of voorafgaand aan het analyse- en productieproces verwijderen van
persoonsgegevens uit de rapporten (‘pseudonimiseren’), is een verwerking van persoonsgegevens en ook daarop is de Avg van toepassing. Sommige
persoonsgegevens zoals die van publieke figuren en bronvermeldingen zijn in rapportages opgenomen omdat medewerkers van het LIMC na verkregen advies dachten dat dit volgens de Avg was toegestaan. Vastgesteld is dat hierover overleg heeft plaatsgevonden en dat het LIMC op dit punt onjuist advies heeft ontvangen.
2. Vastgesteld is dat het LIMC bijzondere persoonsgegevens heeft verwerkt, dit betreft persoonsgegevens over politieke opvattingen. Het gaat om namen en functies van bekende politici en bestuurders. In voorkomende gevallen zal het gaan om bijzondere persoonsgegevens die kennelijk door de betrokkene
openbaar zijn gemaakt. De doorbrekingsgrond: kennelijke openbaarheid door de betrokkene, zou mogelijk van toepassing zijn als de wettelijke grondslag
voldeed. Andere bijzondere categorieën van persoonsgegevens zijn door het onderzoeksteam niet aangetroffen. De interviews en de enquête uitkomsten bevestigen dit.
3. Het doel van de verwerking is vooraf omschreven in de operatiebevelen van de Commandant Landstrijdkrachten en de Commandant Operationeel
Dndersteuningscommando Land. In het kort: militaire en civiele besluitvorming voeden met inzicht en handelingsperspectief in relatie tot COVID-19. Dit doel is gezien de context voldoende welbepaald, maar niet gerechtvaardigd omdat de wettelijke grondslag ontbreekt zoals bedoeld in artikel 6, eerste lid, Avg. De verwerking voldoet daarmee ook niet aan het rechtmatigheidsbeginsel, als bedoeld in artikel 5 Avg. Het civiel gezag heeft geen verzoek gedaan om militaire bijstand of militaire steunverlening in het openbaar belang (MSOB) en de minister van Defensie heeft geen zelfstandige taak en/of bevoegdheid waarop de nationale inzet van het LIMC kan berusten.
Definitief i Onderzoeksrapport 1 31-3-2021
4. Het LIMC was en is geen organieke eenheid binnen het CLAS. Medewerkers zijn dan ook niet geplaatst bij het LIMC maar voor korte of langere tijd vanuit bestaande eenheden of organisaties gevraagd of aangewezen om activiteiten te verrichten.
De logging, autorisatie en toegang tot systemen en gegevensbronnen is bij het LIMCingericht conform de stringente normen van het Defensiebeveiligingsbeleid (DBB).
Informatieproducten van het LIMC zijn zowel binnen als buiten Defensie verspreid. De verzend lijst bevat maximaal 94 geadresseerden, waarvan ongeveer de ene helft e-mailadressen binnen het ministerie van Defensie en andere helft overheidsinstanties buiten Defensie. Er was geen grondslag of taak voor de nationale inzet van het LIMC ten behoeve van civiele autoriteiten. Er was geen grondslag om producten van het LIMC die persoonsgegevens bevatten te verstrekken aan personen of instanties binnen of buiten het ministerie van Defensie.
5. Omdat persoonsgegevens werden verwerkt was een melding van deze
activiteiten in het Avg verwerkingenregister Defensie noodzakelijk. Deze melding is niet gedaan.
6. De Avg-regelgeving schrijft voor dat ook bij een beleidsinitiatief, zoals het concept Information Manoeuvre, voorafgaand aan de verwerking een DPIA vereist is. Dit is niet gebeurd.
7. De normen van het DBB zijn nageleefd voor wat betreft organisatorische maatregelen als geheimhoudingsverklaring, beveiligingsbriefing en screening.
Op het gebied van technische maatregelen is vastgesteld dat bij throughput en output gebruik is gemaakt van geaccrediteerde informatiesystemen waarmee ruimschoots is voldaan aan de norm. Voor input is vastgesteld dat naast geaccrediteerde informatiesystemen gebruikgemaakt van een privé laptop met beveiligingsmaatregelen die niet aantoonbaar voldoen aan de norm.
Eindconclusie
Het LIMC heeft COVID-19 gerelateerde maatschappelijke ontwikkelingen als
“fenomeen” in kaart gebracht om militaire en civiele besluitvorming te voeden met inzicht en handelingsperspectief. Het LIMC had niet de intentie om (grootschalig) persoonsgegevens te verwerken, maar is hierin niet volledig geslaagd.
Persoonsgegevens kwamen mee als “bijvangst”.
Voor deze verwerking bestond geen wettelijke grondslag en is niet voldaan aan de verantwoordingsplicht waardoor de Avg onvoldoende is nageleefd.
Pagina 9van 85
Definitief Onderzoeksrapport i 31-3-2021
Aanbevelingen
De Functionaris Gegevensbescherming beveelt de minister van Defensie aan:
1. Stel een (beleids-) DPIA op voor Informatiegestuurd optreden
In de Defensievisie 2035 is Informatiegestuurd optreden (IGO) de basis van de toekomstige defensieorganisatie. Het verwerken van persoonsgegevens is hierbij onvermijdelijk. Soms valt de verwerking van persoonsgegevens onder de Wet inlichtingen- en veiligheidsdiensten 2017, de Wet politiegegevens of is een uitzondering voor inzet van de krijgsmacht aan de orde waardoor de Avg materieel niet van toepassing is. Bij andere verwerkingen van
persoonsgegevens is de Avg wel van toepassing. Gezien de soort van de verwerking is een hoog privacyrisico waarschijnlijk en is daarom een (beleids-)DPIA vereist.
2. Actualiseer de Catalogus Nationale Operaties 2018
Wet- en regelgeving bepaalt de mogelijkheden voor de inzet van de krijgsmacht, ook bij nationale taken. Afspraken over de beschikbare capaciteit en aanvraagprocedures voor civiel-militaire samenwerking zijn onder meer vastgelegd in de Catalogus Nationale Operaties 2018. Die biedt een overzicht van de inzetmogelijkheden van de krijgsmacht op Nederlands grondgebied door middel van steunverlening en bijstand aan de overheid.
Het verdient aanbeveling om bij de volgende actualisatie van de catalogus daarin een omschrijving van de taken, verantwoordelijkheden,
bevoegdheden en mogelijkheden van de krijgsmacht op het gebied van information manoeuvre en andere militaire analysecapaciteit op te nemen.
3. Hanteer willen, mogen en kunnen in de juiste volgorde
Ontwikkelingen bij de krijgsmacht moeten binnen de kaders van wet- en regelgeving de (technische) mogelijkheden en het beoogde doel worden beschouwd. Met andere woorden, vragen in verband met willen, mogen en kunnen moeten in de juiste volgorde worden gesteld én beantwoord.
Indien behoefte bestaat aan wijziging van regelgeving, bijvoorbeeld door ontwikkelingen in het informatiedomein, is wetgeving vereist. Voordat deze behoefte wordt overwogen is het antwoord op de “willen” vraag
noodzakelijk.
4. Versterk de poortwachtersfunctie op het gebied van gegevensverwerking Verhoog bij behoeftestellers en inkopers structureel het risicobewustzijn van het verwerken van persoonsgegevens bij de verwerving van webbased producten en diensten ten behoeve van het informatiedomein. Maak, zoals voorgeschreven, gebruik van de model Avg verwerkersovereenkomsten.
5. In ventariseer risico volle verwerkin gen van persoonsgegevens
Inventariseer in 2021 verwerkingen met persoonsgegevens bij Defensie waarbij getwijfeld wordt of de principes van de Avg in voldoende mate worden nageleefd en prioriteer deze mede aan de hand van de DPIA criteria in de Avg.
Definitief i Onderzoeksrapport i 31-3-2021
6. Versterk en pro fessionaliseer de A vg organisatie
Versterk en professionaliseer de Avg Organisatie en schenk daarbij in het bijzonder aandacht aan de Avg coördinatiefunctie en aan de samenwerking met de juridische en operationele lijn. Voorzie in een risicogerichte invulling van de Avg-organisatie door bij eenheden zoals OOCL/JISTARC fysiek een Avg-coördinator onder te brengen. Geef in samenspraak met de FG invulling aan de functie van een Chief Privacy Officer (CPO)1 en positioneer deze binnen de BS/DBE.
1 Naar analogie van de motie van het lid Verhoeven c.s. over een chief privacy officer bij uitvoeringsorganisaties. Kamerstukken II2020/21, 27529nr.239
Pagina iivan85
Definitief i Onderzoeksrapport i 3 1-3-2021
Inleiding
1.1 Aanleiding
NRC Handelsblad bericht op 16 november 2020 over de activiteiten van het Land Information Manoeuvre Centre (LIMC). Defensie heeft hierop gereageerd.2 Uit de berichtgeving en de reacties daarop komt het beeld naar voren dat bij het LIMC mogelijk sprake is van incidenten bij het verwerken van persoonsgegevens. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.3 De Functionaris voor Gegevensbescherming (EG) heeft daarop als onafhankelijk intern toezichthouder binnen het ministerie van Defensie besloten een onderzoek in te stellen naar de naleving van de Algemene verordening
gegevensbescherming (Avg) door LIMC. Dit rapport doet hiervan verslag.
1.2 Algemene onderzoeksgegevens
Op 18 november 2020 heeft de FG schriftelijk bij de Commandant
Landstrijdkrachten (C-LAS) aangekondigd op zo kort mogelijke termijn een toezichtbezoek uit te voeren bij het LIMC (bijlage 1). Het LIMC is onder commando gesteld van het Operationeel Ondersteuningscommando Land (OOCL) een onderdeel van het Commando Landstrijd krachten (CLAS).
Het onderzoeksteam heeft op 19 november, 24 november en 1 december 2020 toezichtbezoeken afgelegd bij het LIMC om een eerste beeld te krijgen van de verwerkingsactiviteiten. Hierbij zijn verkennende gesprekken gevoerd met diverse bij het LIMC betrokken medewerkers en leidinggevenden. Het LIMC en OOCL hebben hieraan volledige medewerking en ondersteuning verleend. Het onderzoeksteam is rondgeleid in de werkruimtes en is nader geïnformeerd over diverse aspecten zoals de organisatiestructuur en bedrijfsvoering, de uitgevoerde werkzaamheden, de geautomatiseerde werkomgeving en de gebruikte gegevensbronnen. Het
onderzoeksteam heeft inzage gekregen in processen en systemen. Het LIMC heeft een aantal processen van de gehanteerde werkwijze uitgelegd, getoond en
gedemonstreerd. Het beeld dat uit de eerste oriëntatiefase naar voren kwam toonde aan dat persoonsgegevens zijn verwerkt maar de activiteiten hier niet op waren gericht. De informatie die binnen het LIMC is verwerkt heeft een maximale rubricering van departementaal vertrouwelijk. In het Defensiebeveiligingsbeleid (DBB) gelden hiervoor de normen van het te beschermen belang niveau 4. Het onderzoekteam heeft diverse documenten en bestanden opgevraagd en ontvangen waarop nader onderzoek is uitgevoerd.
Op 20 november 2020 hebben de afdeling systeemtoezicht van de Autoriteit
Persoonsgegevens (AP) en de FG Defensie telefonisch afgestemd. De FG heeft de AP nader geïnformeerd over het ingestelde onderzoek naar de activiteiten van het LIMC.
2KamerstukkenII 2020/21, 32761 nr. 175.Verwerking en bescherming persoonsgegevens.
Zie artikel 4, aanhef en onder 1, Avg: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Definitief i Onderzoeksrapport i 3 1-3-2021
Op verzoek van de Tweede Kamer heeft de minister van Defensie op 27 november 2020 in een brief4 medegedeeld dat de FG Defensie een onafhankelijk onderzoek heeft ingesteld en dat in afwachting van de uitkomsten hiervan is besloten om de activiteiten van het LIMC voor wat betreft het verzamelen en analyseren van informatie stil te zetten. In de brief heeft de minister ook een eerste schriftelijke reactie op de activiteiten van het LIMC gegeven.
1.3 Doelstelling
Doelstelling van dit onderzoek is vaststellen in hoeverre de Avg, andere
Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en het beleid met betrekking tot de bescherming van persoonsgegevens zijn nageleefd binnen het ministerie van Defensie in het kader van de door het LIMC uitgevoerde activiteiten.
De FG rapporteert hierover aan de verwerkingsverantwoordelijke en de Avg beheerder en treedt op als contactpunt voor de AP als externe toezichthouder.
1.4 Onderzoeksvragen
Centrale onderzoeksvraag
Heeft het ministerie van Defensie in het kader van de door de experimenteeromgeving LIMC uitgevoerde activiteiten gehandeld in
overeenstemming met de Avg, de Uitvoeringswet Avg (UAvg) en de Regeling Avg Defensie?
Dee/vragen
Om antwoord te kunnen geven op de centrale onderzoeksvraag zijn de volgende deelvragen opgesteld:
1) Zijn er binnen het ministerie van Defensie in het kader van de door de experimenteeromgeving LIMC uitgevoerde activiteiten persoonsgegevens verwerkt zoals bedoeld in de artikelen 2, 4 lid 1 en lid 2 Avg? Is het verwerken van informatie uit openbaar toegankelijk bronnen in overeenstemming met de Avg beoordeeld, gekwalificeerd en ingericht?
2) Zijn er binnen het ministerie van Defensie in het kader van door de experimenteeromgeving LIMC uitgevoerde activiteiten bijzondere
categorieën van persoonsgegevens verwerkt zoals bedoeld in artikel 9 Avg?
Bijvoorbeeld gegevens betreffende de gezondheid en gegevens betreffende politieke, religieuze of levensbeschouwelijke overtuiging?
3) Indien er binnen het ministerie van Defensie in het kader van door de experimenteeromgeving LIMC uitgevoerde activiteiten verwerkingen van persoonsgegevens hebben plaatsgevonden, met welk welbepaald en omschreven doel hebben de minister van Defensie en de Commandant Landstrijdkrachten deze persoonsgegevens verwerkt en konden de verwerkingen op een rechtmatige grondslag zoals omschreven in de artikelen 6 en 9 Avg worden gebaseerd?
4) Vast te stellen of en zo ja welke personen onder het gezag of in opdracht van het ministerie van Defensie in het kader van door de
experimenteeromgeving LIMC uitgevoerde activiteiten persoonsgegevens
KamerstukkenII 2020/21, 32761,nr.175.Verwerking en bescherming persoonsgegevens.
Pagina 13van as
Definitief i Onderzoeksrapport 1 31-3-2021
hebben verwerkt of waar persoonsgegevens aan zijn verstrekt en op welke wijze de logging, autorisatie en toegang tot geautomatiseerde systemen en gegevensbronnen was ingericht. En tevens vast te stellen of het ministerie van Defensie in het kader van door de experimenteeromgeving LIMC uitgevoerde activiteiten aan personen of instanties buiten het ministerie van Defensie persoonsgegevens heeft verstrekt en zo ja, met welk doel dat is gebeurd.
5) Diende het ministerie van Defensie in het kader van door de
experimenteeromgeving LIMC uitgevoerde verwerkingsactiviteiten een melding op te nemen in het Avg verwerkingenregister Defensie en zo ja, is deze melding gedaan?
6) Was vooraf voor het ministerie van Defensie met het oog op de door de experimenteeromgeving LIMC uit te voeren activiteiten het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) op het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens zoals bedoeld in artikel 35 Avg vereist en zo ja, is er een DPIA uitgevoerd?
7) Welke technische en organisatorische maatregelen zijn door het ministerie van Defensie getroffen ter beveiliging van de in het kader van de door de experimenteeromgeving LIMC uitgevoerde activiteiten verwerkte
(persoons)gegevens, zoals bedoeld in artikel 32 Avg en zoals uitgewerkt in het Defensiebeveiligingsbeleid (DBB)?
1.5 Methode van onderzoek
Naast de toezichtbezoeken op locatie heeft het onderzoeksteam een
documentenanalyse verricht, een enquête uitgevoerd en interviews gehouden.
Documen tenanalyse
In bijlage VII is het overzicht met documenten opgenomen.
Enquête
De enquête is uitgezet bij 151 personen die gedurende een bepaalde periode werkzaamheden hebben verricht voor het LIMC. De namenlijst is verstrekt door de huidige, acting chef-staf van het LIMC. De vragen van de enquête zijn opgenomen in bijlage II. Het onderzoek richt zich op de feitelijke gebeurtenissen bij het LIMC en niet op het persoonlijk functioneren van de medewerker. 106 personen hebben op de enquête gereageerd, een respons van 70%. Drie personen geven aan dat zij geen werkzaamheden hebben verricht voor het LIMC.
Interviews
Van 4 tot en met 25 februari 2021 zijn twintig semigestructureerde interviews gehouden. Zestien interviews zijn in verband met de coronamaatregelen via Microsoft Teams gevoerd, vier interviews hebben, met inachtneming van de coronaregels, op de werklocatie van de geïnterviewden plaatsgevonden. De geïnterviewden hebben vooraf een interviewprotocol ontvangen en de via Microsoft Teams geïnterviewde personen hebben achteraf een verslag op hoofdlijnen ter verificatie ontvangen.
1.6 Afbakening
Het onderzoek richt zich op de activiteiten van het LIMC in de periode vanaf de oprichting op 23 maart 2020 tot en met 27 november 2020. Op 27 november heeft
Definitief i Onderzoeksrapport i 31-3-2021
de minister van Defensie besloten de activiteiten van het LIMC voor wat het verzamelen en analyseren van informatie betreft stil te zetten.
Het onderzoek richt zich op de vraag of de activiteiten die door LIMC in deze periode zijn uitgevoerd in overeenstemming waren met de (U)Avg en Regeling Avg Defensie.
De EG formuleert daarover conclusies en, indien de bevindingen daartoe aanleiding geven, aanbevelingen. Het onderzoek richt zich niet op de bredere ontwikkelingen op het gebied van informatie gestuurd optreden binnen de krijgsmacht, bij andere defensieonderdelen of CD&E (concept development & experimentation) projecten buiten het LIMC.
1.7 Rapportopbouw
In hoofdstuk twee is het toetsingskader beschreven op basis waarvan de bevindingen in hoofdstuk drie zijn beoordeeld. Het toetsingskader bestaat naast privaat- en publiekrechtelijke kaders, zoals de Avg en hierop gebaseerde regelgeving, uit defensiekaders zoals de Regeling Avg Defensie en het DBB. Het rapport wordt afgesloten met hoofdstuk vier waarin de conclusies en aanbevelingen staan verwoord.
Pagina 15van85
Definitiefi Onderzoeksrapport i 3 1-3-2021
2 Toetsingskader
Voordat wordt toegekomen aan een inhoudelijke beoordeling van de activiteiten en de verwerking van persoonsgegevens binnen het LIMC, is allereerst van belang om vast te stellen of en zo ja, in hoeverre de Avg (en de Uavg) van toepassing is.
Vaststaat dat, voor zover het gaat om verwerking van persoonsgegevens, de verwerkingsactiviteiten binnen het LIMC, binnen het territoriaal toepassingsgebied van de Avg (en de Uavg) vallen. De verwerkingsactiviteiten vinden immers plaats in Nederland onder beheer van het ministerie van Defensie, dat is gevestigd in
Nederland.
Van belang voor dit onderzoek is met name de vraag of de activiteiten en de verwerking van persoonsgegevens binnen het LIMC ook binnen het materiële toepassingsgebied van de Avg en de Uavg vallen. Kort gezegd: verwerkt het LIMC persoonsgegevens en zo ja, is de Avg hierop van (overeenkomstige) toepassing of zijn de gegevensverwerkingen uitgezonderd van het materieel toepassingsgebied van de verordening, bijvoorbeeld op grond van het bepaalde in artikel 2 Avg en de artikelen 2 en 3 Uavg.
Daarna volgt in dit hoofdstuk een toelichting op enkele beginselen van de Avg.
Allereerst wordt rechtmatigheid (de wettelijke grondslag) toegelicht, gevolgd door doelbinding, noodzakelijkheid, juistheid, passende technische en organisatorische maatregelen en verantwoording. Het hoofdstuk wordt afgesloten met een toelichting op bijzondere en strafrechtelijke persoonsgegevens.
2.1 Materieel toepassingsgebied
De Avg is materieel van toepassing op de geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van
persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.6
2.1.1 Persoonsgegevens
Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.7 Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct (bijvoorbeeld aan de hand van een naam, adres, telefoonnummer), of indirect (bijvoorbeeld met behulp van een klantnummer, autokenteken) kan worden geïdentificeerd.8 Van een persoonsgegeven is aldus snel sprake.
Voor de vraag of sprake is van identificeerbaarheid moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is, dan wel door derden in te zetten zijn, om de persoon te identificeren. Daarbij moet rekening worden gehouden met alle
objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met
Zie artikel3, eerste lidAvg respectievelijk artikel4 eerste lidUAvg.
6Zie artikel 2, eerste lid, Avg.
Zie artikel 4, aanhef en onder 1, Avg.
In de definitie van het begrip persoonsgegeven in de Avg wordt gesproken over identificatie “met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.
Definitief Onderzoeksrapport i 31-3-2021
inachtneming van de beschikbare technologie op het tijdstip van verwerking maar ook de technologische ontwikkelingen in de nabije toekomst (denk aan de
toenemende rekenkracht van computers en het groeiende aantal beschikbare hulpmiddelen).9
De Avg is niet van toepassing op gegevens die zodanig anoniem zijn (gemaakt) dat de persoon waarop ze betrekking hebben niet (meet) zonder onredelijke inspanning identificeerbaar is. In dat geval is er, met andere woorden, geen sprake van verwerking van persoonsgegevens meer. Het anonimiseren op zichzelf is overigens al een verwerking van persoonsgegevens.
2.1.2 (Geautomatiseerde en/of handmatige) verwerking
Een verwerking is iedere bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens. Dit betreft een ruim begrip. Als voorbeelden noemt artikel 4, tweede lid, Avg onder meer het verzamelen, opslaan, bijwerken, raadplegen en doorzenden van persoonsgegevens.’0 Ook het enkel opzoeken en/of analyseren van data, betreft een verwerking in de zin van de Avg.
Daarnaast is van belang, voor de materiële toepasselijkheid van de Avg, of de verwerking, waaronder dus het raadplegen, van persoonsgegevens (gedeeltelijke)1’
geautomatiseerd (lees: met behulp van computers of soortgelijke digitale
middelen)’2 plaatsvindt, danwel een handmatige verwerking van persoonsgegevens die in een bestand13 zijn opgenomen of die bestemd zijn om daarin te worden opgenomen, betreft. Alleen in dat geval is de Avg (en de Uavg) van toepassing.’4 Zie overweging 27 van de considerans van de voormalige Richtlijn 95/46/EG1’ die dezelfde bepaling kende: “Overwegende dat de bescherming van personen zowel op automatische als op niet-automatische verwerking van toepassing is; dat de
reikwijdte van deze bescherming in feite niet afhankelijk mag zijn van de gebruikte technieken, omdat zulks ernstig gevaar voor ontduiking zou opleveren; dat
niettemin wat de niet-automatische verwerking betreft alleen bestanden en geen ongestructureerde dossiers onder de richtlijn vallen ()“ 16
Overweging26van de considerans van de Avg.
10Zie voor de volledige opsomming artikel 4, onder2, Avg: “verwerking: een bewerking of een geheelvan bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastieggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’
Er is sprake van een ‘gedeeltelijke geautomatiseerde verwerking’ als bij een onderdeel van de verwerking niet alleen gebruik gemaakt wordt van computers, smartphones, tablets, servers, databases et cetera, maar ook gebruik gemaakt wordt van andere middelen.
12 Zie Afdeling Bestuursrechtspraak van de Raad van State (ABRvS”) 31 december 2014, ECLI:NL:RVS:2014:4753, rov. 6.2.
13 Zie artikel 4, onder 6, Avg: ‘bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid.”
14Zie artikel 2, eerste lid, Avg.
15 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het Vrije verkeer van die gegevens.
15Zie in dat verband tevens ABRvS 16 juli 2014, ECLI:NL:RVS:2014:2594, rov. 5.5:
“Gezien het vorenstaande volgt uit de bewoordingen van artikel 2, eerste lid, van de Wbp en artikel 3, eerste lid, van de Privacyrichtlijn, gelezen in samenhang met de overwegingen van de considerans bij die richtlijn, dat
Pagina 17van85
Definitief i Onderzoeksrapport i 31-3-2021
Een aantal voorbeelden van (gedeeltelijk) geautomatiseerde verwerkingen zijn in de toelichting bij de Wet bescherming persoonsgegevens (“Wbp”) opgesomd,
waaronder het uitvoeren van zoekopdrachten met behulp van daartoe geschreven programma’s. Zie Kamerstukken II 1997/98, 25 892, nr. 3, p. 69: “Hieruit vloeit voort dat iedere «losse» verwerking van geheel of gedeeltelijk geautomatiseerde gegevens onder het bereik van dit wetsvoorstel valt. Gedacht kan worden aan het opslaan van een persoonsgegeven op een (optisch-)magnetische gegevensdrager als de tekstverwerker of een chipcard. Ook de verwerking van persoonsgegevens voor datamining of de uitvoering van bepaalde zoekopdrachten (query’s) met behulp van daartoe geschreven programmas, al dan niet verricht door de verantwoordelijke zelf, valt onder de algemene normering van gegevensverwerking.”
2.1.3 Big Data
Big Data is een wijdverspreide en veelgebruikte term. Toch bestaat er geen breed gedeelde definitie van Big Data, zo constateerde de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in haar rapport ‘Big Data in een Vrije en veilige samenleving’.
De WRR benoemt in haar rapport drie hoofdkenmerken van Big Data:
- Data: grote hoeveelheden gestructureerde of ongestructureerde gegevens of een combinatie van beide uit verschillende databronnen.
- Data-gedreven analyse: er wordt gezocht naar patronen in de data zonder vooraf opgestelde hypotheses. Analyses zijn vooral gericht op het heden
(realtimeanalyses/no wcasting) en de toekomst (predictive analyses/forecasting).
- Gebruik: data uit het ene domein wordt gebruikt voor beslissingen in een ander domein met ontschotting van domeinen als gevolg. Actionable knowledge:
conclusies op geaggregeerd niveau kunnen worden toegepast voor beslissingen op groeps- of individueel niveau (persoon of object).
2.1.4 Uitzonderingen (U)Avg: krijgsmacht
De Avg en UAvg zijn vrijwel volledig van overeenkomstige toepassing verklaard op de verwerkingen van persoonsgegevens in het kader van de activiteiten van de krijgsmacht. Uitgezonderd zijn verwerkingen van persoonsgegevens door de krijgsmacht:
- indien de minister van Defensie daartoe heeft beslist;
- met het oog op de inzet of het ter beschikking stellen van de krijgsmacht ter uitvoering van de in artikel 97 van de Grondwet omschreven taken voor zover dat noodzakelijk is voor de vervulling van het mandaat en de bescherming van de (internationale) troepenmacht.
Daarnaast bestaat er voor Defensie een uitzondering, uit hoofde van artikel 3, derde lid, onder a en b, UAvg, indien de Wet op de inlichtingen- en veiligheidsdiensten 2017 van toepassing is op de verwerking van persoonsgegevens.
Tevens uitgezonderd is, de verwerking van persoonsgegevens door de bevoegde autoriteiten, waaronder de Koninklijke Marechaussee, met het oog op de
voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.
het in geval van geautomatiseerde verwerking van persoonsgegevens niet van belang is of deze gegevens een bestand als bedoeld in artikel 1, aanhef en onder c, van de Wbp, vormen.[...].“
Definitief i Onderzoeksrapporti 31-3-2021
Juridische onderbouwing
De gedetailleerde juridische onderbouwing is als volgt:
Uitgezonderd van het materiële toepassingsgebied van de Avg, zijn, op grond van artikel 2, tweede lid, onder a en b, Avg, de verwerking van
persoonsgegevens in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen; en door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, Verdrag betreffende de Europese Unie (“VEU”) vallen.
Tevens uitgezonderd is, de verwerking van persoonsgegevens door de bevoegde autoriteiten, waaronder de Koninklijke Marechaussee, met het oog op de
voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid (zie in dat verband artikel 2, tweede lid, onder d, Avg).17
De Nederlandse wetgever heeft in artikel 3 UAvg een nadere uitwerking gegeven aan de reikwijdte van deze uitzonderingen uit artikel 2, tweede lid, Avg. Deze nadere uitwerking van de reikwijdte van de uitzondering uit artikel 2, tweede lid, Avg, is door de Nederlandse wetgever aangebracht om tegemoet te komen aan de regelingsopdracht van artikel 10, tweede en derde lid, van de Grondwet. Zie Kamerstukken II 2017/18, 34 851, nr. 3, p. 9 en 13-14:
“[Dle nationale wetgever [dient,] [niet alleen bij] het invullen van de grondwettelijke opdracht via Europese regels[, maar ook in diverse andere opzichten] het Nederlandse constitutionele perspectief [te behartigen]. De regering wijst erop dat gegevensbescherming een belangrijke rol speelt op de gebieden die geheel of gedeeltelijk aan het Unierecht zijn onttrokken. Te denken valt met name aan de verwerking van persoonsgegevens met het oog op de nationale veiligheid door inlichtingen- en veiligheidsdiensten [en door
Defensie.18] De wetgever kan op dat terrein nog in belangrijke mate zelfstandig invulling geven aan de regelingsopdracht van artikel 10, tweede en derde lid, van de Grondwet.” (tekst tussen blokhaken toegevoegd)
Zie ookKamerstukken II 1997/98, 25 892, nr. 3, p. 13 en 14:
“In artikel 3, tweede lid, onder eerste streepje, van de richtlijn is bepaald dat, ook in dat geval echter verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de Staat — waaronder de economie van de Staat, wanneer deze verwerkingen in verband staan met vraagstukken van staatsveiligheid
—
en de activiteiten van de Staat op strafrechtelijk gebied, niet onder het bereik van de richtlijn vallen.[...]
Deze beperking hangt samen met de grondslag van de richtlijn, te wetende harmonisatie met het oog op de totstandkoming van de interne markt. De Lidstaten blijven vrij de regelgeving voor het overige naar eigen inzicht in te richten, zij het binnen de grenzen van het Verdrag inzake gegevensbescherming voor zover zij dit hebben bekrachtigd.Het wetsvoorstel behelst de keuze af te zien van het onderscheid of een vorm
17Zieartikel1,onder a,Wetpolitiegegevens jo. artikel4Politiewet2012.
18Daarbij opgemerkt dat er in de Uitvoeringswet voor is gekozen om gegevensverwerking door de krijgsmacht onder de werkingssfeer van deze wet te brengen en de verordening van overeenkomstige toepassing te verklaren, met dien verstande dat de minister van Defensie in bepaalde gevallen hiervan kanafwijken.
Pag ina 19van85
Definitief i Onderzoeksrapport i 31-3-2021
van gegevensverwerking al dan niet onder het communautaire recht valt. Dit vermijdt onnodige vragen over de precieze reikwijdte van het zich voortdurend uitbreidende communautaire recht, alsmede vragen naar de rechtvaardiging waarom een bepaald rechtsgebied dat onder het communautaire recht valt, anders wordt geregeld dan een rechtsgebied waarbij dat (nog) niet het geval is.”
- Op grond van artikel 3, eerste lid, onder a en b, en het tweede lid, UAvg zijn de UAvg en de Avg (en de daarop berustende bepalingen) mede van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen; en op verwerkingen door de krijgsmacht bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V,
hoofdstuk 2, van het VEU vallen. De Avg en de UAvg zijn daarmee dus vrijwel volledig van overeenkomstige toepassing verklaard op de verwerkingen van persoonsgegevens in het kader van de activiteiten van de krijgsmacht.
- Op het voorgaande bestaat, uit hoofde van artikel 3, derde lid, onder a, UAvg, alleen een uitzondering indien onze minister van Defensie heeft beslist
(bepaalde) verwerkingen van persoonsgegevens door de krijgsmacht, met het oog op de inzet of het ter beschikking stellen van de krijgsmacht ter uitvoering van de in artikel 97 van de Grondwet omschreven taken uit te zonderen. De geldende uitzonderingen zijn door de minister van Defensie opgenomen in de Regeling Gegevensbescherming Militaire Operaties (“RGMO”). Aangezien overeenkomstige toepassing van de Avg het uitgangspunt is, zien de uitzonderingen in de RGMO alleen op de taakuitvoering voor zover dat
noodzakelijk is voor de vervulling van het mandaat en de bescherming van de (internationale) troepenmacht. Zie Kamerstukken II2017/18, 34 851, nr. 3, p.
90-9 1:
“Zoals hierboven aangegeven zijn gegevensverwerkingen in het kader van inzet van de krijgsmacht op basis van artikel 2 van de verordening uitgesloten van de
reikwijdte van de verordening. Het is desalniettemin wenselijk dat op verwerkingen door de krijgsmacht ten behoeve van de uitvoering van haar taken, bedoeld in artikel 97 van de Grondwet, de Uitvoeringswet en de verordening in beginsel wel van toepassing onderscheidenlijk van
overeenkomstige toepassing zijn. Hiermee wordt de huidige in de Wbp vervatte lijn (artikel 2, derde lid, van de Wbp)[’9] voortgezet dat ook in geval van inzet of het ter beschikking stellen van de krijgsmacht waar mogelijk de algemene beginselen voor de verwerking van persoonsgegevens in acht worden genomen.
19 Zie ook de Memorie van Toelichting bij de voorganger van artikel 3 UAvg; artikel 2, derde lid, Wbp (Kamerstukken111997/98, 25 892, nr. 3, p. 72): “Het derde lid voorziet in een voorwaardelijke uitzondering voor gegevensverwerkingen door de krijgsmacht in geval van daadwerkelijk operationeel optreden door Nederlandse militairen in het buitenland. Gedacht dient te worden aan de inzet van de krijgsmacht bij internationale crisisbeheersingsoperaties. Hoewel gegevensverwerkingen in dat kader veelal buiten Nederland zullen worden verricht, blijft de minister van Defensie hiervoor verantwoordelijk. Mede gelet op artikel 4 zou de wet zonder nadere voorziening van toepassing zijn. Bij inzet in internationale crises kan evenwel niet altijd worden gevergd dat de wet onverkort wordt toegepast. De omstandigheden waarin de krijgsmacht dan soms moet functioneren laten zulks in bepaalde gevallen niet toe. Om die reden wordt in het derde lid de bevoegdheid toegekend aan de minister van Defensie om te bepalen dat de wet buiten toepassing kan blijven.
De minister ken daartoe slechts beslissen indien dit met het oog op de inzet van de krijgsmacht ter handhaving of bevordering van de internationale rechtsorde nodig is. Met deze laatste formulering is aangesloten bij het nieuwe artikel 97 van het recent ingediende voorstel van Rijkswet tot wijziging van de bepalingen van de Grondwet inzake de verdediging. Ten slotte is bepaald dat de Registratiekamer van de beslissing van de minister—zo nodig achteraf doch zo spoedig mogelijk—inkennis dient te worden gesteld. Deze voorziening is er op gericht om een adequate controle op de toepassing van de wet mogelijk te maken. Met het oog daarop zal de beslissing van de minister om de wet buiten toepassing te laten, van een adequate motivering moeten zijn voorzien.”
Definitief 1 Onderzoeksrapport i 31-3-2021
Er moet evenwel een mogelijkheid zijn om af te wijken, omdat bij inzet in internationale militaire operaties niet altijd kan worden gevergd dat alle bepalingen onverkort worden toegepast. De omstandigheden waarin de krijgsmacht soms moet functioneren, laten dat niet altijd toe. Hierom is het wenselijk om de Minister van Defensie de bevoegdheid te geven om hierop een uitzondering te maken als er sprake is van daadwerkelijke operationele inzet van de krijgsmacht.” (tekst tussen blokhaken toegevoegd) Vgl. ook Nota van
Toelichting bij de Regeling Gegevensbescherming Militaire Operaties (Stb. 2018, 28293).
- Daarnaast bestaat er voor Defensie een uitzondering, uit hoofde van artikel 3, derde lid, onder a en b, UAvg20, indien de Wet op de inlichtingen- en veiligheidsdiensten 2017 van toepassing is op de verwerking van persoonsgegevens.
2.1.5 Uitzonderingen (U)A vg: persoonlijke, huishoudelijke & journalistieke doeleinden De uitzonderingen voor persoonlijke, huishoudelijke en journalistieke doeleinden zijn op de verwerking bij het LIMC niet van toepassing.
De gedetailleerde juridische onderbouwing is als volgt:
- Uitzondering (op de toepasselijkheid van de Avg en de UAvg) uit artikel 2, tweede lid, onder c, Avg inzake de verwerkingen van persoonsgegevens door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit,21 is niet relevant voor het gebruik door het LIMC. Dit omdat het bi] het LIMC niet gaat om verwerkingen door een natuurlijk persoon, maar door ambtenaren van de krijgsmacht die handelen onder gezag en
verantwoordelijkheid van de Minister van Defensie. De verwerking heeft dus niet een louter persoonlijk of huishoudelijk karakter, maat houdt verband met een beroepsactiviteit.22
- De uitzondering inzake de vrijheid van meningsuiting, zoals voortvloeit uit artikel 85 Avg jo. artikel 43 UAvg,23 is hier niet relevant. Deze uitzondering geldt immers uitsluitend voor gegevensverwerkingen voor journalistieke,24 artistieke of literaire doeleinden en niet voor de onderhavige verwerkingen door de overheid. Dit omdat er geen sprake is van journalistiek, zijnde een verwerking die als enig doel heeft de bekendmaking aan het publiek van informatie, meningen of ideeën, noch van artistieke of literaire doeleinden die worden na gestreefd.
20Zie in dat verband ook artikel 2, tweede lid,onder a, Avg.
Zie artikel 2, tweede lid, onder c, Avg. Deze uitzondering dient volgens de Autoriteit Persoonsgegevens maar ook het Hof van Justitie van de Europese unie (‘Hv] EU”), zoals onder meer blijkt uit het arrest van 11 december 2014 van het HvJ Eu (ECLI:Eu:C:2014:2428, C-212/13, (Reynes)), strikt te worden uitgelegd. Zie
de website van de Autoriteit Persoonsgegevens fraadpieegbaar via:
op-internet#wat-is-de-uitzonderinci-voor-oersoonliik-of-huishoudeliik-oebwik-6433).
22Zie in dat verband overweging 18 van de considerans van de Avg.
23Zie ook overweging153 bij de considecans van de Avg.
24In dit verband zijnde volgende uitspraken van belang: HvJ E van 16december2008, ECLI:Eu:C:2008:727 (Satamedia), par. 57 e.v.; EHRM 27 juni 2017, ECLI:CE:ECHR:2017:0627JUD000093113, nr. 931/13 (Satamedia); HvJ EU, 14 februari 2019, ECLI:Eu:C:2019:122, nr. C-345117 (Buidvids). Zie verder ook de
recente uitspraak Rechtbank Midden-Nederland 23november2020, ECLI:NL:RBMNE:2020:51 11 (VoetbalTv).
Pagina21van85
Definitief 1 Onderzoeksrapport 31-3-2021
2.2 Rechtmatig: wettelijke grondslag
Artikel 5, eerste lid, aanhef en onder a, Avg schrijft voor dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.
Deze eis vindt in feite zijn uitwerking in een groot deel van de overige privacy-eisen, waaronder artikel 6, eerste lid, Avg. Dit artikel bepaalt dat een verwerking van persoonsgegevens enkel is toegestaan voor zover daarvoor een zogenoemde
‘wettelijke grondslag’25,bestaat. De algemene wettelijke grondslagen van artikel 6, eerste lid, Avg luiden als volgt:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene v66r de sluiting van een overeenkomst maatregelen te nemen;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Voor de verwerkingen binnen het LIMC kan gebruik gemaakt worden van de verwerkingsgrondslagen van artikel 6, eerste lid, onder e, Avg (vervulling van een taak van algemeen belang) en artikel 6, eerste lid, onder c, Avg (wettelijke
verplichting). De grondslag moet te vinden zijn in het recht van de Europese Unie of het recht van een lidstaat. Het is immers aan de wetgever om de rechtsgrond voor de persoonsgegevensverwerkingen door overheidsinstanties te creëren 26
Daarbij wel de opmerking dat het hebben van een wettelijke grondslag voor een publieke taak, volgens de wetgever, niet altijd betekent dat de wettelijke grondslag voor de gegevensverwerking gegeven is. Dit plaatst de wetgever in het verlengde van het daarover opgemerkte in artikel 8, tweede lid, EVRM. Zie in dat verband de Kamerstukken II 2017/18, 34 851, nr. 3, p. 35-36 (inzake de ‘gewone grondslag’ in de zin van artikel 6 Avg):
“[...] Uit de eis dat een inmenging in de uitoefening van het recht op respect voor het privéleven als bedoeld in artikel 8 van het EVRM moet zijn voorzien bij wet («in accordance with the law») vloeit voort dat die inmenging moet berusten op een naar behoren bekendgemaakt wettelijk voorschrift waaruit de burger met voldoende precisie kan opmaken welke op zijn privéleven betrekking hebbende gegevens met het oog op de vervulling van een bepaalde overheidstaak kunnen worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens met dat doel kunnen
25Als bedoeld in artikel 6, eerste lid, Avg.
26Zie overweging 47 van de considerans van de Avg.
DefinitiefjOnderzoeksrapport 1 31-3-2021
worden bewerkt, bewaard en gebruikt. Vereist is dus een voldoende precieze wettelijke grondslag. Dat betekent dat bijvoorbeeld de algemene taakstelling van een overheidsdienst niet in alle gevallen kan dienen als rechtsgrond voor
gegevensverwerking 17”
De verwerkingen van persoonsgegevens door de overheid binnen het LIMC dienen zodoende, zoals volgt uit artikel 8 tweede lid EVRM, voldoende duidelijk voort te vloeien uit een naar behoren bekend gemaakt en voldoende precies wettelijk voorschrift.
2.2.1 De publieke taken van de krijgsmacht
De publieke taken van de krijgsmacht kunnen, zoals voortvloeit uit artikel 97, eerste lid, Grondwet, liggen in de volgende doelen: de verdediging van het Koninkrijk en de bondgenootschappelijke verdediging; de handhaving en de bevordering van de internationale rechtsorde; en de bescherming van belangen van het Koninkrijk.
In de Defensienota uit 2018, worden deze taken op de volgende wijze uitgewerkt:27
“1 Bescherming van het eigen en bondgenootschappelijke grondgebied, inclusief het Caribisch deel van het Koninkrijk.
2 Bescherming en bevordering van de internationale rechtsorde en stabiliteit.
3 Ondersteuning van civiele autoriteiten bij rechtshandhaving, rampenbestrijding en humanitaire hulp, zowel nationaal als internationaal.”
Deze taken worden, zoals blijkt uit artikel 97, tweede lid, Grondwet, door de regering toebedeeld. De regering bepaalt of, en zo ja hoe, de krijgsmacht voor deze doelen uiteindelijk wordt ingezet.28 Uit artikel 97 Grondwet vloeit als zodanig, geen - zelfstandig werkende - taak of bevoegdheid voor de krijgsmacht voor nationale inzet, voort29.
Inzet van de krijgsmacht voor nationale taken is alleen mogelijk voor zover deze taken zijn vastgelegd in wet- en regelgeving; in geval van structurele ondersteuning van civiel gezag, zijn vastgelegd in convenanten of arrangementen; of op basis van bijstand of Militaire Steunverlening in het Openbaar Belang (“MSOB”)30.
Voor zover structurele taken van de krijgsmacht zijn vastgelegd in wet- en
regelgeving, vloeit uit die wet- en regelgeving voort in hoeverre een verwerking van persoonsgegevens in dat kader mogelijk is.
Een voorbeeld van een structurele taak zijn de (politie)taken, zoals vastgelegd in artikel 4 Politiewet 2012, van de Koninklijke Marechaussee en de taak van de krijgsmacht die is belegd in de Rijkswet geweldgebruik bewakers militaire objecten.
Deze wet geeft de krijgsmacht bepaalde geweldsbevoegdheden in de uitoefening van de wettelijke bewakings- en beveiligingstaak.
27Raadpieegbaar via https://www.defensie.nl/downloadslbeleidsnota-s/2018103126/defensienota-201 8.
28ZieKamerstukken111997/98, 25367 (R 1593), nr. 3, p. 3.
29Zie artikel 97, tweede lid, Grondwet. Daaruit blijkt dat de regering het oppergezag heeft over de krijgsmacht.
Met andere woorden, de (wettelijk) vastgelegde bevoegdheid om de krijgsmacht in te zetten. Zie daarover P.
A. L., Ducheine en G. L. C. van den Bosch, ‘Staatsrecht en krijgsmacht’, in: M. D. Fink (editor), Inleiding militair recht. Den Haag: Nederlandse Defensie Academie 2014 (derde druk), p. 11-28.Kamerstukken 111997/98,25 367 fR 1593), nr. 3, p. 3.
30Zie de Regeling inzake militaire steunverlening in het openbaar belang.
Pagina 23van85
Definitief i Onderzoeksrapport 31-3-2021
Bij (niet-structurele) nationale inzet op basis van bijstand (op basis van bijvoorbeeld artikel 58 van de Politiewet 2012; of artikel 20 van de Wet Veiligheidsregio’s) of MSOB, wordt de krijgsmacht ingezet onder aansturing en verantwoordelijkheid van civiel gezag, zoals de officier van justitie of de burgemeester. Daarbij oefent de krijgsmacht niet altijd eigen publieke taken en bevoegdheden uit, maar taken en bevoegdheden van het ondersteunde civiele gezag (en is— in het verlengde daarvan
— geen verwerkingsverantwoordelijke). Ter uitoefening van die taken en
bevoegdheden mag de krijgsmacht persoonsgegevens verwerken, voor zover het civiele gezag, als verwerkingsverantwoordelijke, de krijgsmacht daartoe de opdracht heeft gegeven en deze verwerking noodzakelijk is voor de vervulling van een taak of onderdeel is van een bevoegdheid van het civiele gezag.
2.3 Doelbinding
Persoonsgegevens moeten, op grond van artikel 5, aanhef en onder b, Avg, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (het doelbindingsbeginsel).
De doeleinden waarvoor persoonsgegevens worden verwerkt dienen, zoals is verduidelijkt in overweging 39 van de considerans van de Avg, te zijn vastgelegd wanneer de persoonsgegevens worden verzameld. De doeleinden dienen expliciet en gerechtvaardigd te zijn.
Een verwerking van persoonsgegevens vindt plaats voor een gerechtvaardigd doeleinde, indien deze kan worden gebaseerd op een grondslag als bedoeld in artikel 6 Avg en het doeleinde in overeenstemming is met toepasselijke wet- en
regelgeving. Voor verwerkingen die worden gebaseerd op artikel 6, eerste lid, onder e, Avg (de verwerkingen zijn noodzakelijk zijn voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag), geldt dat het doel van de verwerking in de wetgeving wordt vastgesteld (artikel 6, derde lid, Avg).
Een verwerking van deze verzamelde persoonsgegevens kan plaatsvinden voor een ander doeleinde dan waarvoor deze persoonsgegevens oorspronkelijk zijn verzameld (een ‘verdere verwerking’) indien het doeleinde van de verdere verwerking
verenigbaar is met het oorspronkelijke doel van de verwerking van de gegevens. Of een verdere verwerking, voor een ander doel, verenigbaar is wordt bepaald aan de hand van de criteria genoemd in artikel 6, vierde lid, Avg. Als er op basis daarvan wordt vastgesteld dat er geen sprake is van een verenigbare verdere verwerking, is deze verwerking alleen toegestaan voor zover de verwerking berust op (i)
toestemming, (ii) een Europese of nationale wettelijke bepaling die in een
democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van een in artikel 23, eerste lid, Avg bedoelde doeleinden (nationale veiligheid, landsverdediging, openbare veiligheid).
Aan de hand van de volgende criteria wordt bepaald of verdere verwerking verenigbaar is met de verzameldoeleinden:
- Het verband tussen de doeleinden waarvoor de gegevens zijn verzameld en de doeleinden van de verdere verwerking;
- Het kader waarin de persoonsgegevens zijn verzameld en dan met name de verhouding tussen de betrokkene en de verwerkingsverantwoordelijke (ook wel: de wijze van verkrijging en de verwachting van de betrokkene);
- De aard van de gegevens;
- De mogelijke gevolgen van de voorgenomen verdere verwerking voor betrokkenen; en
Definitief Onderzoeksrapport 31-3-2021
- Het bestaan van passende waarborgen, zoals pseudonimisering.
Van belang is verder het “vermoeden van verenigbaarheid” als bedoeld in artikel 5, eerste lid, onder b, van de Avg. Op grond daarvan wordt een verdere verwerking met het oog op wetenschappelijk onderzoek niet als onverenigbaar beschouwd.3’
Indien sprake is van een verenigbare verdere verwerking, dan is bij een interne verdere verwerking (door dezelfde verwerkingsverantwoordelijke) geen afzonderlijke wettelijke grondslag als bedoeld in artikel 6, eerste lid, Avg vereist. Bij een externe verdere verwerking (door een andere verwerkingsverantwoordelijke) dient de verwerkingsverantwoordelijke over een afzonderlijke wettelijke grondslag als bedoeld in artikel 6, eerste lid, Avg te beschikken. Zie Kamerstukken II2018/19, 34 851, nr. 3, p. 3532
2.4 Noodzakelijkheid
Uit het noodzakelijkheidsbeginsel van artikel 5, eerste lid, aanhef en onderc, Avg, ook wel aangeduid als ‘het beginsel van dataminimalisatie’, volgt dat de privacy inbreuk die gepaard gaat met verwerkingen van het LIMC noodzakelijk moet zijn voor het doel waarvoor het LIMC wordt ingezet (‘proportionaliteit’).
Daarnaast mag de verwerkingsverantwoordelijke slechts overgaan tot het verwerken van (strafrechtelijke of bijzondere) persoonsgegevens indien het onderzoeksdoel niet met minder vergaande maatregelen kan worden bereikt (‘subsidiariteit’).
Het noodzakelijkheidsbeginsel heeft tot slot ook gevolgen voor de toegang tot, de omvang en de aard van de persoonsgegevens die ten behoeve van het LIMC door de verwerkingsverantwoordelijke mogen worden verwerkt. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en moeten beperkt blijven tot het strikt noodzakelijke. Kort en goed houdt dit in dat de verwerkingsverantwoordelijke enkel ‘need to know’-informatie mag verwerken, in plaats van ‘nice to know’- informatie.
Het noodzakelijkheidsbeginsel zal ook technisch en organisatorisch door ontwerp en standaardinstellingen binnen het LIMC moeten worden geborgd, zodat kan worden voldaan aan de beginselen van privacy by design and defaultuit artikel 25 Avg. In hoeverre en op welke manier de verwerkingsverantwoordelijke uitvoering dient te geven aan deze beginselen, vormt de uitkomst van een afweging van verschillende factoren.33
De verplichting uit artikel 25 Avg is het best te begrijpen als een zorgplicht van de verwerkingsverantwoordelijke om een zo beperkt mogelijke inbreuk op de
persoonlijke levenssfeer te maken bij de verwerking van persoonsgegevens.34
31 Zie ook EDPB, Richtsnoeren 3/2020 inzake de verwerking van gezondheidsgegevens voor wetenschappelijk onderzoek in het kader van de COVID-19-uitbraak’, 21 april 2020 fraadpleegbaar via, 19_nl.pdf).
32Deze opmerking in de memorie van toelichting is toegevoegd naar aanleiding van het wetgevingsadvies van de Afdeling advisering van de Raad van State(Kamerstukken112017/18, 34851, nr. 4, p. 36-38).
Die factoren zijn (onder meer) de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en het doel van de verwerking en de risico’s (waarschijnlijkheid en ernst) voor de rechten en vrijheden van de betrokkenen. Zie voor een concretisering hiervan de overwegingen 75 en 76 van de considerans van de Avg.
Deze zorgplicht zal in verschillende contexten geconcretiseerd moeten worden, maar verschillende elementen worden al expliciet in overweging 78 van de considerans van de Avg genoemd.
Pagina 25vanss
Definitief i Onderzoeksrapport i 3 1-3-2021
2.5 Juistheid
De verwerkingsverantwoordelijke kan niet (zonder meet) uitgaan van de juistheid van de gegevens uit de verschillende openbare bronnen, en is zelf verantwoordelijk voor de controle en het waarborgen van de juistheid, integriteit en actualiteit van de verwerkte gegevens.
De verwerkingsverantwoordelijke moet op grond van artikel 5, eerste lid, onderdeel d, Avg de nodige maatregelen treffen om ervoor te zorgen dat de
persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn.
Voorts dient de verwerkingsverantwoordelijkheden persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.
2.6 Passende technische en organisatorische maatregelen De Avg schrijft in artikel 32 voor dat “passende technische en organisatorische maatregelen” worden getroffen ter beveiliging van de verwerking.
Dit zijn twee open normen. Om te bepalen wat voor het LIMC een passende beveiliging is om het doel van artikel 32 Avg te bereiken, zijn de normen en maatregelen van het Defensie beveiligingsbeleid gehanteerd.
2.6.1 Defensiebeveiligingsbeleid
Het ministerie van Defensie levert een belangrijke bijdrage ten behoeve van de bevordering van vrede en veiligheid in de wereld. Personeel, informatie en materieel zijn van wezenlijk belang om een effectieve uitvoering van taken in dit kader te kunnen garanderen. Een ieder moet bij de taakuitvoering onder alle
omstandigheden kunnen vertrouwen op de betrouwbaarheid van de
bedrijfsprocessen. Die betrouwbaarheid wordt onder meer gegarandeerd door het treffen van beveiligingsmaatregelen. Het geheel aan personele, fysieke, informatie- en industriebeveiliging wordt integrale beveiliging (security) genoemd. Integrale beveiliging is beschreven in het DBB.
Het DBB is ontwikkeld op basis van externe normenkaders en regelgeving zoals NATO- en EU beveiligingsbeleid, civiele beveiligingsnormen zoals NEN-ISO/IEC 27001:2017 en 27002:2017, de Baseline Informatiebeveiliging Overheid (BIO) het Besluit voorschrift informatiebeveiliging rijksdienst (VIR) en het Besluit voorschrift informatiebeveiliging rijksdienst — bijzondere informatie (VIR-BI) et cetera. Alle externe van toepassing zijnde normen en maatregelen zijn geïncorporeerd binnen het DBB en hieraan zijn defensie specifieke normen en maatregelen toegevoegd. Het DBB is daardoor een zwaarder beleidskader dan de Baseline Informatiebeveiliging Overheid. De BIO is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Met het implementeren van het DBB wordt een beveiligingsniveau bereikt dat tenminste gelijk is aan de BIO maar in de meeste gevallen hoger. Voor het DBB geldt het ‘Pas toe of leg uit’ principe. Hiermee wordt bedoeld dat Defensie de normen toepast tenzij er expliciet geformuleerde redenen zijn om dat niet te doen.
Niveau van normen en maatregelen
Het niveau van de normen en maatregelen hangt af van de aard van de informatie, het materieel, de goederen en de objecten in relatie tot de specifieke dreiging. Het ministerie van Defensie hanteert daartoe een rubricering- en merking-systeem.
Defensie heeft alle te beschermen informatie, materieel, goederen en objecten van
